|
W32/Rontokbro.LD
24
November 2006
Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih
ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi
file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda
menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri
utama adalah munculnya gambar mr.halloween yang disertai beberapa
baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan
patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi
windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst
yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah
yang tepat untuk dilakukan.
Jika
kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan
sejarah perkembangan komputer, jika dulu komputer itu mempunyai
ukuran yang “sangat” besar kini pada perkembangan selanjutnya
komputer mempunyai ukuran yang sangat kecil dan jangan salah
walaupun kecil ukurannya semakin canggih fiture dan teknologi yang
ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah
kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman
mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah
mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB
dengan sedikit modifikasi virus ini berhasil berada setingkat lebih
tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian
ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai
ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih
cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan
jaman dimana semakin kecil ukuran dari sebuah virus maka semakin
cepat pula virus tersebut akan menyebar dan semakin ganas payload
yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk
varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik
kanan” dan blok semua file executable [EXE], jadi walaupun komputer
anda sudah bersih dari Rontokbro.LD maka setiap kali anda
menjalankan file executable [EXE] dari sebuah program akan muncul
pesan error sehingga program tersebut tidak dapat dijalankan, selain
itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off”
dengan cara mematikannya ditambah dengan kemampuannya untuk
melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri
utama dari virus ini sama dengan varian sebelumnya yakni akan
memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul
“KERE”. (lihat gambar 1)

Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan
update terakhir Norman sudah dapat mengenali virus ini dengan baik
sebagai Rontokbro.LD (lihat gambar 2)

Gambar 2, Hasil scanning antivirus Norman
Sama
seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari
berbagai arah agar dirinya tetap aktif hal ini diperparah dengan
kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE
dengan merubah string di registry agar jika setiap kali user
menjalankan file dengan ekst. EXE maka secara otomatis akan
menjalankan dirinya.
Selain
itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah
program aplikasi yang dijalankan serta akan membuat file duplikat
sesuai dengan nama file yang disembunyikan. selain manipulasi file
dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext.
COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode
atau safe mode with command prompt akan sangat sulit dilakukan oleh
karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang
dapat dilakukan.
Untuk
mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan
exstension EXE serta mempunyai type file sebagai “Application”,
tetapi jika virus tersebut sudah menginfeksi komputer maka type
file “Application” akan berubah menjadi “File Folder” dengan
melakukan perubahan pada string registry, dengan demikian semakin
sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat
gambar 3)

Gambar 3, File yang terinfeksi Rontokbro.LD
Jika
file tersebut dijalankan maka akan muncul sebuah pesan dari si
pembuat virus, jika pada varian awalnya akan mempunyai judul
“Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul
“KERE”, lihat gambar 1 :
Jika
virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa
file induk yang akan dijalankan pertama kali setiap kali komputer
dinyalakan, diantaranya:
-
Data %user logon%.exe di setiap partisi Hard Disk
-
C:\kere.exe
-
Membuat folder KERE pada setiap Drive, dimana folder ini
berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".
-
C:\Documents and Settings\All Users\Start
Menu\Programs\Startup
§
Empty.pif
§
Empty.exe dan Startup.exe
-
C:\Documents and Settings\Default User\Start
Menu\Programs\Startup
§
Startup.exe
-
C:\Documents and Settings\%user%\Application
Data\Microsoft\Word\STARTUP
§
Startup.exe
-
C:\WINDOWS\system32\config\systemprofile\Start
Menu\Programs\Startup
§
Startup.exe
-
C:\Documents and Settings\%user%\Local Settings\Application
Data
§
IExplorer.exe
§
shell.exe
§
csrss.exe
§
kere.exe
§
lsass.exe
§
services.exe
§
winlogon.exe
-
C:\Documents and Settings\%user%\Local Settings\Application
Data\WINDOWS
§
Csrss.exe
§
lsass.exe
§
services.exe
§
smss.exe
§
winlogon
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§
Startup.exe
-
C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§
Startup.exe
-
C:\Windows
§
kERe.exe
-
C:\WINDOWS\system32
§
MrBugs.scr
§
IExplorer.exe
§
Shell.exe
-
C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
-
C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif,
dimana X menunjukan angka acak
-------------------------------------------------------------------------------------------------------
Catatan:
%user
logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan
membut beberapa string pada registry dibawah ini:
-------------------------------------------------------------------------------------------------------
Catatan:
%user
logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows
Selain
itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar
seolah-olah sebagai screen saver] dengan mengganti file yang akan di
jalankan menjadi Mr.Bugs.scr file ini akan disimpan
didirektori [C:\Windows\system32]. File ini akan dijalankan pada
waktu-waktu yang telah ditentukan sehingga secara otomatis akan
mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah
string pada registry berikut:
C:\WINDOWS\System32\MRBugs.scr
Untuk
mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan
Disable beberapa software security termasuk antivirus maupun fungsi
windows seperti regedit, msconfig, task manager, folder option dan
cmd selain itu Rontokbro.LD juga akan disable klik kanan
[sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan
membuat string pada registry berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
-
NoFolderOptions
-
NoViewContextMenu
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-
DisableRegistryTools
-
DisableTaskMgr
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer
-
NoTrayCOntextMenu
-
NoClose
-
NoFind
-
NoSetFolders
-
NoSetTaskbar
-
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-
DisableRegistryTools
-
DisableTaskMgr
-
DisableCMD
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoFolderOptions
-
NoViewContextMenu
Rontokbro.LD juga akan mematikan “system restore” dan blok file
installer yang mempunyai ekst. MSI dengan membuat string pada
registry berikut : (lihat gambar 4)

Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK
Harap
hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL]
jangan sesering mungkin menjalankan file yang mempunyai ekst.
.exe, .com, .bat, .pif dan .lnk karena jika anda
menjalankan file dengan extension tersebut maka secara tidak
langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini
ia akan merubah string pada registry berikut:
§
Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§
Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§
Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§
Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
§
Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
§
Auto =
1
§
Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain
itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD
tetapi selama anda tidak membersihkan string registry yang telah
disebutkan di atas maka setiap kali anda menjalankan program yang
mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat
maka akan muncul pesan error seperti terlihat pada gambar dibawah 5
dan 6 ini :

Gambar 5, Pesan error pada saat menjalankan program [gambar1]

Gambar 6
Menyembunyikan file eksekusi dari sebuah program
Sama
seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan
menyembunyikan setiap file executable [.exe] dari sebuah program
jika program tersebut dijalankan kemudian untuk mengelabui user ia
akan membuat file duplikat sesuai dengan nama file yang
disembunyikan dengan ciri-ciri:
-
Menggunakan icon “Folder”
-
Ukuran 80 KB
-
Ext. .EXE
-
Type file “File Folder” walaupun sebenarnya merupakan
“Application” hal ini disebebkan karena virus ini akan merubah
type file dari “Application” menjadi “File Folder” teknik ini
juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika
komputer anda terinfeksi virus ini coba perhatikan semua file yang
mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai
file “Apllication” kini akan berubah menjadi “File Folder”.
Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type
file tersebut yakni agar user terkecoh dengan file yang sudah
terinfeksi sehingga dengan “tenang” user akan menjalankan file
tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan
Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type
file sebagai “File Folder” maka semakin sempurnalah penyamaran virus
tersebut, karena user beranggapan file tersebut adalah “Folder”
bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan
merubah string pada registry berikut : (lihat gambar 7)

Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file
virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa
VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan
menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu
merubah file msvbvm60.dll yang berada didirektori
[C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old].
Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar
Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file
tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll]
ke direktori [C:\windows] dengan attribut “hidden” begitupun file
msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan
disembunyikan.
Aktif
pada mode safe mode dan safe mode with command prompt
Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap
aktif walaupun komputer di booting pada mode “safe mode” dan “safe
mode with command prompt” sehingga mempersulit proses pembersihan
dengan melakukan perubahan pada registry berikut:
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Membuat file duplikat
Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap
folder dan sub folder sesuai dengan nama folder/file yang ada di
foldersubfolder tersebut dengan ciri-ciri
-
Menggunakan icon “Folder”
-
Ukuran 80 KB
-
Ext. .EXE
-
Type file “File Folder” walaupun sebenarnya merupakan
“Application” hal ini disebebkan karena virus ini akan merubah
type file dari “Application” menjadi “File Folder” teknik ini
juga digunakan untuk mengelabui user.
Media
penyebaran
Sama
seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya
Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa
file serta membuat file duplikat disetiap folder dan sub folder
dengan nama file sesuai dengan nama folder yang disembunyikan,
berikut beberapa file yang di copy ke media Disket/UFD:
Catatan:
%user
logon% menunjukan user yang digunakan untuk login ke windows
Cara
membersihkan Rontokbro.LD secara manual
-
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan
[LAN/WAN]
-
Matikan proses virus yang aktif di memori. Sebagaimana yang
telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan
baik melalui mode “Normal”, “safe mode” atau “safe mode with
command prompt” karena ia akan mencoba untuk blok dari berbagai
arah agar dirinya tetap aktif termasuk untuk memanipulasi file
dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi
file induk virus tersebut sehingga jika anda menjalankan file
dengan ext tersebut maka secara tidak langsung akan menjalankan
virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan
melalui mode DOS PROMPT.
Jika
komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan
format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini
digunakan untuk membuat Disket Stratup yang nantinya digunakan
untuk menghapus file induk virus tersebut, software ini dapat di
download di alamat
http://www.free-av.com/antivirclassic/avira_ntfs4dos.html.
Setelah berhasil download dan menginstall software tersebut buat
Disket Startup, untuk membuat disket stratup anda hanya membutuhkan
1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat
booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program
bahasa VB dengan demikian untuk mematikan proses virus tersebut
untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll,
Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada
direktori [C:\Windows] oleh karena itu selain anda merubah file
MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus
merubah file yang sama pada direktori [C:\Windows]
Jika
anda menggunakan Software NTFS for DOS biasanya Drive System [C:\]
akan menjadi Drive terakhir [contohnya: jika Hard Disk anda
mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan
menggunakan NTFS for DOS pastikan kursor berada di Drive system anda
[contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori
[C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke
direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu
ketik perintah DIR /AH [untuk melihat file yang di
sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll
msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya
perhatikan gambar 8 dibawah ini :

Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan
booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll
Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk
menjalankan suatu program [bukan cuma program yang dibuat dengan
Visual Basic saja] maka akan muncul pesan error “seolah-olah program
tersebut tidak dapat menemukan file msvbvm60.dll” hal ini
karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu
sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9
ini

Gambar 9, Pesan error ketika menjalankan program
-
Hapus string registry yang dibuat oleh virus. Untuk mempercepat
proses penghapusan salin script dibawah ini pada program
“notepad” kemudian simpan dengan nama repair.inf setelah
itu jalakan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
Tetapi
Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada
desktop atau file sehingga user akan kesulitan untuk menjalankan
file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan
kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi
klik kanan salin script dibawah ini pada program notepad
kemudian simpan dengan nama repair.bat dan jalankan file
tersebut dengan cara klik 2 x file tersebut.
Dim
oWSH: Set oWSH = CreateObject("WScript.Shell")
on
error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah
fungsi klik kanan dapat kembali digunakan, hapus sisa string
yang masih ada, untuk mempercepat salin script dibawah ini pada
program notepad dan simpan dengan nama repair.inf
kemudian jalankan file tersebut [klik repair.inf
à
klik
install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm,
SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM,
SOFTWARE\Classes\exefile,,,"Application"
HKLM,
SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,
SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKCU,
Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0,
"C:\Windows\system32\userinit.exe,"
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NOFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistryTools
HKCU,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableTaskMgr
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,
DisableRegistryTools
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoFolderOptions
HKLM,
SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM,
SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM,
SOFTWARE\Policies\Microsoft\Windows\Installer,
LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------
Catatan:
Sebelum menjalankan repair.inf lakukan pengecekan ulang pada
script berikut:
-
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe,
menjadi C:\Winnt\system32\userinit.exe, jika menggunakan
Windows NT/2000, karena baris script diatas
[C:\Windows\system32\userinit.exe] berlaku jika komputer
terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali
registry berikut, karena untuk string yang dibuat akan berbeda-beda
sesuai dengan login user yang digunakan pada komputer yang
terinfeksi.
Kemudian hapus string Logon %user% dan Service %user%
------------------------------------------------------------------------------------------
-
Hapus file induk yang telah dibuat oleh virus. Sebelum anda
menghapus file induk tersebut pastikan anda sudah menampilkan
semua file yang disembunyikan dengan memilih option “ show
hidden file anda folder” dan mematikan option “hide file
extension for known type” dan “hide protected operating system
files (recommended) pada “FOLDER OPTION” kemudian hapus file
berikut:
·
Data
%user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan
user yang digunaakn untuk login ke windows
·
C:\kere.exe
·
Membuat folder KERE pada setiap drive, dimana folder ini berisi 2
buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua
file ini akan disembunyikan
·
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§
Empty.pif
§
Empty.exe dan Startup.exe
·
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§
Startup.exe
·
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§
Startup.exe
·
C:\Documents and Settings\%user%\Application
Data\Microsoft\Word\STARTUP
§
Startup.exe
·
C:\Documents and Settings\%user%\Local Settings\Application Data
§
IExplorer.exe
§
shell.exe
§
csrss.exe
§
kere.exe
§
lsass.exe
§
services.exe
§
winlogon.exe
·
C:\Documents and Settings\%user%\Local Settings\Application
Data\WINDOWS
§
Csrss.exe
§
lsass.exe
§
services.exe
§
smss.exe
§
winlogon
·
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§
Startup.exe
·
C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§
Startup.exe
·
C:\Windows
§
kERe.exe
·
C:\WINDOWS\system32
§
MrHelloween.scr
§
shell.exe
§
IExplorer.exe
§
C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
§
C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif,
dimana X menunjukan angka acak
§
Jika
anda mempunyai Flash Disk sebaiknya cek dan hapus file yang
mempunyai nama Data %user logon%.exe [contoh: Data Administrator]
dan folder “KERE” [folder ini akan disembunyikan]
-
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
-
Menggunakan icon “Folder”
-
Ukuran file 80 KB
-
Mempunyai extension .EXE
-
Type file “Application”
-
Tampilkan kembali semua file executable [.EXE] yang telah
disembunyikan oleh virus, untuk mempercepat anda dapat
menggunakan perintah ATTRIB pada DOS PROMPT, contoh:
ATTRIB –h –r *.exe /s
kemudian tekan tombol [enter] (lihat gambar 10)

Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
-
Jika komputer sudah benar-benar bersih dari virus, rename [ubah]
kembali file msvbvm60.dll yang sudah diubah sebelumnya pada
didirektori [C:\Windows\system32].
-
Untuk pembersihan optimal dan mencegah infeksi ulang install
antivirus yang sudah dapat mengenali virus ini dengan baik.
Adang
Juhar Taufik
info@vaksin.com
PT.
Vaksincom
Jl.
Tanah Abang III / 19E
Jakarta 10160
Ph :
021 345 6850
Fx :
021 345 6851
|